계정의 민감한 데이터 자동 검색 구성 - Amazon Macie
시작하기 전에계정에 자동 검색 활성화계정에 자동 검색 설정 구성계정의 자동 검색 비활성화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

계정의 민감한 데이터 자동 검색 구성

Amazon Macie는 민감한 데이터 자동 검색을 통해 Amazon Simple Storage Service(S3) 버킷에서 샘플 객체를 지속적으로 선택하고 객체를 분석하여 민감한 데이터가 포함되어 있는지 확인합니다. 조직의 Macie 관리자인 경우 여기에는 구성원 계정이 소유한 S3 버킷의 객체가 포함됩니다. 분석이 진행됨에 따라 Macie는 Amazon S3 데이터에 대해 제공하는 통계, 인벤토리 데이터 및 기타 정보를 업데이트합니다. 또한 Macie는 찾은 민감한 데이터와 수행한 분석에 대한 기록을 생성합니다.

민감한 데이터 자동 검색을 구성하고 사용하려면, 계정이 독립형 Macie 계정이거나 조직의 Macie 관리자 계정이어야 합니다. 멤버 계정이 있고 S3 버킷에 대한 자동 검색을 수행하려는 경우 조직의 Macie 관리자에게 문의하세요. 자세한 내용은 여러 계정 관리 섹션을 참조하세요.

계정에 대해 민감한 데이터 자동 검색을 활성화, 구성 또는 비활성화한 경우, 변경 사항은 현재 AWS 리전에만 적용됩니다. 추가 리전에서도 동일한 변경을 적용하려면 각 추가 리전에서 해당 단계를 반복합니다.

시작하기 전에

계정에 민감한 데이터 자동 검색을 구성하기 전에 필요한 권한이 있는지 확인하세요. 또한 민감한 데이터 검색 결과를 위한 리포지토리를 구성했는지 확인합니다.

권한을 확인하려면 AWS Identity and Access Management(IAM)을 사용하여 IAM ID에 연결된 IAM 정책을 검토하세요. 그런 다음 해당 정책의 정보와 수행할 수 있어야 하는 다음 작업 목록과 비교합니다.

  • macie2:GetMacieSession

  • macie2:UpdateAutomatedDiscoveryConfiguration

첫 번째 작업을 통해 Amazon Macie 계정에 액세스할 수 있습니다. 두 번째 작업을 통해 계정의 민감한 데이터 자동 검색 구성 설정을 변경할 수 있습니다. 여기에는 구성 활성화 및 비활성화가 포함됩니다. 필요한 경우 macie2:GetAutomatedDiscoveryConfiguration 작업을 수행할 수도 있는지 확인합니다. 이 작업을 통해 현재 구성 설정과 구성의 현재 상태를 검색할 수 있습니다.

권한을 확인하는 것 외에도 민감한 데이터 검색 결과를 저장하기 위한 리포지토리를 구성했는지 확인합니다. 민감한 데이터 검색 결과는 S3 객체 분석에 대해 Macie가 수행한 분석의 로그 세부 정보를 기록하는 레코드입니다. Macie는 자동화된 민감한 데이터 검색을 수행하는 동안 분석하는 각 S3 객체에 대해 민감한 데이터 검색 결과를 생성합니다. Macie가 민감한 데이터를 찾지 못해 민감한 데이터 결과가 생성되지 않는 객체와 권한 설정 등의 오류나 문제로 인해 Macie가 분석할 수 없는 객체가 여기에 포함됩니다. Macie가 개체에서 민감한 데이터를 찾은 경우, 민감한 데이터 검색 결과에는 해당 조사 결과의 데이터가 포함됩니다. 여기에는 추가 정보도 포함되어 있습니다. 이러한 결과는 데이터 프라이버시 및 보호 감사 또는 조사에 유용할 수 있는 분석 기록을 제공합니다.

Macie는 민감한 데이터 검색 결과를 90일 동안만 저장합니다. 결과에 액세스하고 해당 결과를 장기간 저장 및 보존하려면 결과를 S3 버킷에 저장하도록 Macie를 구성합니다. 버킷은 모든 민감한 데이터 검색 결과를 위한 확정적이고 장기적인 리포지토리 역할을 할 수 있습니다.

계정에 대해 이 리포지토리를 구성했는지 확인하려면 Amazon Macie 콘솔의 탐색 창에서 검색 결과를 선택합니다. 프로그래밍 방식으로 이 작업을 수행하려면 Amazon Macie API의 GetClassificationExportConfiguration작업을 사용합니다. 이 리포지토리를 구성하는 방법을 알아보려면 민감한 데이터 검색 결과 저장 및 유지 섹션을 참조하세요.

리포지토리를 구성한 경우, 계정에 대해 민감한 데이터 자동 검색이 처음 활성화되면 Macie는 리포지토리에 이름이 automated-sensitive-data-discovery인 폴더를 생성합니다. 이 폴더에는 Macie가 계정에 대한 자동 검색을 수행하는 동안 생성하는 민감한 데이터 검색 결과가 저장됩니다.

계정에 민감한 데이터 자동 검색 활성화

계정에 민감한 데이터 자동 검색을 활성화하면 Amazon Macie는 현재 AWS 리전의 계정에 대해 Amazon S3 인벤토리 데이터를 평가하고 기타 자동 검색 활동을 수행하기 시작합니다. Amazon S3 데이터 자산의 크기에 따라 계정에 자동 검색을 활성화한 후 48시간 이내에 민감한 데이터 검색 통계 및 기타 결과가 나타나기 시작할 수 있습니다.

Amazon Macie 콘솔을 사용하여 계정에 민감한 데이터 자동 검색을 활성화하려면 다음 단계를 따르세요. 프로그래밍 방식으로 자동 검색을 활성화하려면 Amazon Macie API의 UpdateAutomatedDiscoveryConfiguration 작업을 사용하세요.

계정에 민감한 데이터 자동 검색을 활성화하려면

  1. https://console.aws.amazon.com/macie/에서 Amazon Macie 콘솔을 엽니다.

  2. 페이지 오른쪽 상단 모서리에 있는 AWS 리전 선택기를 사용하여 민감한 데이터 자동 검색을 활성화할 리전을 선택합니다.

  3. 탐색 창의 설정에서 자동 검색을 선택합니다.

  4. 상태 섹션에서 활성화를 선택합니다.

  5. 확인 메시지가 나타나면 활성화를 선택합니다.

민감한 데이터 자동 검색을 활성화한 후에는 설정을 검토 및 구성하여 Macie가 이후에 수행하는 분석을 세부 조정합니다.

계정에 민감한 데이터 자동 검색 설정 구성

계정에 민감한 데이터 자동 검색이 활성화된 경우, 계정의 자동 검색 설정을 조정하여 Amazon Macie가 수행하는 분석을 세부 조정할 수 있습니다. 이러한 설정은 분석에 포함하려는 S3 버킷을 지정합니다. 또한 Macie가 감지하고 보고할 민감한 데이터의 유형과 발생 빈도(예: 관리형 데이터 식별자, 사용자 지정 데이터 식별자, S3 객체 분석 시 사용할 허용 목록)를 지정합니다.

기본적으로 Macie는 계정을 모니터링하고 분석하는 모든 S3 버킷에 대해 민감한 데이터 자동 검색을 수행합니다. 조직의 Macie 관리자인 경우, 멤버 계정이 소유한 S3 버킷도 여기에 포함됩니다. 분석에서 특정 버킷을 제외할 수 있습니다. 예를 들어, AWS CloudTrail 이벤트 로그와 같이 일반적으로 AWS 로깅 데이터를 저장하는 버킷을 제외할 수 있습니다. 버킷을 제외하고 나중에 다시 포함시킬 수 있습니다.

또한 Macie는 민감한 데이터 자동 검색에 권장되는 관리형 데이터 식별자 세트만 사용하여 S3 객체를 분석합니다. Macie는 사용자가 정의한 사용자 지정 데이터 식별자나 허용 목록을 사용하지 않습니다. 분석을 사용자 지정하려면 특정 허용 목록, 사용자 지정 데이터 식별자, 관리형 데이터 식별자를 사용하도록 Macie를 구성할 수 있습니다.

다음 섹션에서는 각 설정 유형에 대한 추가 정보를 제공하고 Amazon Macie 콘솔을 사용하여 설정을 변경하는 방법을 설명합니다. 자세히 알아보려면 섹션을 선택하세요. 프로그래밍 방식으로 설정을 검토하거나 변경하려면 다음 Amazon Macie API의 작업을 사용할 수 있습니다. 분석에서 제외할 S3 버킷을 지정하는 UpdateClassificationScope, 사용할 허용 목록, 사용자 지정 데이터 식별자, 관리형 데이터 식별자를 지정하는 UpdateSensitivityInspectionTemplate.

설정을 변경하면 Macie는 민감한 데이터 자동 검색에 대한 다음 평가 및 분석 주기가 시작될 때(일반적으로 24시간 이내) 변경 내용을 적용합니다.

기본적으로 Macie는 계정을 모니터링하고 분석하는 모든 S3 버킷에 대해 민감한 데이터 자동 검색을 수행합니다. 조직의 Macie 관리자인 경우, 멤버 계정이 소유한 S3 버킷도 여기에 포함됩니다. 범위를 좁히기 위해 분석에서 최대 1,000개의 버킷을 제외할 수 있습니다.

S3 버킷을 제외하면 Macie는 계정에 민감한 데이터 자동 검색을 수행할 때 버킷의 객체 분석을 중단합니다. 버킷에 대한 기존의 민감한 데이터 검색 통계 및 세부 정보는 그대로 유지됩니다. 예를 들어 버킷의 현재 민감도 점수는 변경되지 않습니다. 버킷을 제외한 후, 나중에 다시 포함할 수 있습니다.

특정 S3 버킷을 제외 또는 포함하려면

  1. https://console.aws.amazon.com/macie/에서 Amazon Macie 콘솔을 엽니다.

  2. 페이지 오른쪽 상단 모서리에 있는 AWS 리전 선택기를 사용하여 자동 검색 분석에서 특정 S3 버킷을 제외하거나 포함하려는 리전을 선택합니다.

  3. 탐색 창의 설정에서 자동 검색을 선택합니다. 민감한 데이터 자동 검색 페이지가 나타나고 현재 설정이 표시됩니다. 해당 페이지의 S3 버킷 섹션에는 현재 제외된 S3 버킷이 나열되거나 모든 버킷이 현재 포함되어 있음을 나타냅니다.

  4. S3 버킷 섹션에서 편집을 선택합니다.

  5. 다음 중 하나를 수행하세요.

    • 하나 이상의 S3 버킷을 제외하려면 제외 목록에 버킷 추가를 선택합니다. 그런 다음 S3 버킷 테이블에서 제외하려는 각 버킷에 해당하는 확인란을 선택합니다. 이 표에는 현재 리전의 계정에 대한 모든 S3 버킷이 나열됩니다.

    • 이전에 제외한 S3 버킷을 하나 이상 포함하려면 제외 목록에서 버킷 제거를 선택합니다. 그런 다음 S3 버킷 테이블에서 포함하려는 각 버킷에 해당하는 확인란을 선택합니다. 테이블에는 현재 민감한 데이터 자동 검색에서 제외된 모든 버킷이 나열됩니다.

    특정 버킷을 더 쉽게 찾으려면 테이블 위의 검색 상자에 검색 기준을 입력합니다. 버킷 이름을 기준으로 테이블을 정렬할 수도 있습니다.

  6. 버킷 선택을 마치면 이전 단계에서 선택한 옵션에 따라 추가 또는 제거를 선택합니다.

관리형 데이터 식별자는 신용카드 번호, AWS 비밀 액세스 키 또는 특정 국가 또는 지역의 여권 번호와 같은 특정 유형의 민감한 데이터를 탐지하도록 설계되었습니다. 기본적으로 Macie는 민감한 데이터 자동 검색에 권장되는 관리형 데이터 식별자 세트를 사용하여 S3 객체를 분석합니다. 이 세트에 포함된 식별자 목록을 검토하려면 민감한 데이터 자동 검색을 위한 기본 설정 섹션을 참조하세요.

특정 유형의 민감한 데이터에 초점을 맞추도록 분석을 조정할 수 있습니다. Macie가 감지 및 보고할 민감한 데이터 유형에 대한 관리형 데이터 식별자를 추가하고, Macie가 감지 및 보고하지 못하게 하려는 민감한 데이터 유형에 대한 관리형 데이터 식별자를 제거할 수 있습니다. 관리형 데이터 식별자를 제거해도 변경 사항은 S3 버킷의 기존 민감한 데이터 검색 통계 및 세부 정보에 영향을 주지 않습니다. 예를 들어, AWS 비밀 액세스 키를 감지하는 관리형 데이터 식별자를 제거했는데 Macie가 이전에 버킷에서 해당 유형의 민감한 데이터를 감지한 경우, Macie는 버킷에 대해 해당 감지를 계속 보고합니다.

작은 정보

모든 S3 버킷에 대한 후속 분석에서 관리형 데이터 식별자를 제거하는 대신 특정 버킷의 민감도 점수에서 해당 유형의 감지를 제외할 수 있습니다. 자세한 내용은 개별 S3 버킷에 대한 민감한 데이터 자동 검색 관리 섹션을 참조하세요.

관리형 데이터 식별자를 추가하거나 제거하려면

  1. https://console.aws.amazon.com/macie/에서 Amazon Macie 콘솔을 엽니다.

  2. 페이지 오른쪽 상단 모서리에 있는 AWS 리전 선택기를 사용하여 자동 검색 분석에서 관리형 데이터 식별자를 추가하거나 제거할 리전을 선택합니다.

  3. 탐색 창의 설정에서 자동 검색을 선택합니다. 민감한 데이터 자동 검색 페이지의 관리형 데이터 식별자 섹션에는 현재 설정이 다음 두 개의 탭으로 구성되어 표시됩니다.

    • 기본값에 추가됨 - 이 탭에는 명시적으로 추가한 관리형 데이터 식별자가 나열됩니다. Macie는 기본 세트에 있고 사용자가 명시적으로 제거하지 않은 식별자 외에도 이러한 관리형 데이터 식별자를 사용합니다.

    • 기본값에서 제거됨 - 이 탭에는 명시적으로 제거한 관리형 데이터 식별자가 나열됩니다. Macie는 이러한 관리형 데이터 식별자를 사용하지 않습니다.

  4. 관리형 데이터 식별자 섹션에서 편집을 선택합니다.

  5. 다음을 수행하세요.

    • 관리형 데이터 식별자를 하나 이상 추가하려면 기본값에 추가됨 탭을 선택합니다. 그런 다음 테이블에서 추가하고자 하는 각 관리형 데이터 식별자의 확인란을 선택합니다. 확인란이 이미 선택되어 있는 경우 해당 식별자를 이미 추가한 것입니다.

    • 관리형 데이터 식별자를 하나 이상 제거하려면기본값에서 제거됨 탭을 선택합니다. 그런 다음 테이블에서 제거할 각 관리형 데이터 식별자의 확인란을 선택합니다. 확인란이 이미 선택되어 있는 경우 해당 식별자를 이미 제거한 것입니다.

    각 탭의 테이블에는 Macie가 현재 제공하는 모든 관리형 데이터 식별자 목록이 표시됩니다. 테이블에서 각 관리형 데이터 식별자의 ID는 식별자가 감지하도록 설계된 민감한 데이터의 유형을 설명합니다(예: 미국 여권 번호의 경우, USA_PASSPORT_NUMBER). 특정 관리형 데이터 식별자를 더 쉽게 찾으려면 표 위의 검색 상자에 검색 기준을 입력하세요. 열 머리글을 선택하여 테이블을 정렬할 수 있습니다. 각 식별자에 대한 자세한 내용은 관리형 데이터 식별자 사용 섹션을 참조하세요.

  6. 마쳤으면 저장을 선택합니다.

사용자 지정 데이터 식별자는 민감한 데이터를 감지하기 위해 정의하는 기준 집합입니다. 기준은 일치시킬 텍스트 패턴을 정의하고 선택적으로 문자 시퀀스와 결과를 세분화하는 근접성 규칙을 정의하는 정규 표현식(regex)으로 구성됩니다. 자세한 내용은 사용자 지정 데이터 식별자 빌드(을)를 참조하세요.

기본적으로 Amazon Macie는 민감한 데이터 자동 검색을 수행할 때 사용자 지정 데이터 식별자를 사용하지 않습니다. Macie가 특정 사용자 지정 데이터 식별자를 사용하도록 하려면 해당 식별자를 분석에 추가할 수 있습니다. 그러면 Macie는 사용자가 Macie에서 사용하도록 구성한 관리형 데이터 식별자 외에도 사용자 지정 데이터 식별자를 사용합니다.

분석에 사용자 지정 데이터 식별자를 추가하고 나중에 제거할 수 있습니다. 변경 사항은 S3 버킷에 대한 기존의 민감한 데이터 검색 통계 및 세부 정보에는 영향을 미치지 않습니다. 예를 들어 이전에 버킷에 대한 감지를 생성한 사용자 지정 데이터 식별자를 제거해도 Macie는 버킷에 대해 해당 감지를 계속 보고합니다. 그러나 모든 버킷에 대한 후속 분석에서 식별자를 제거하는 대신 특정 버킷의 민감도 점수에서 해당 유형의 감지를 제외하는 것이 좋습니다. 자세한 내용은 개별 S3 버킷에 대한 민감한 데이터 자동 검색 관리 섹션을 참조하세요.

사용자 지정 데이터 식별자를 추가하거나 제거하려면

  1. https://console.aws.amazon.com/macie/에서 Amazon Macie 콘솔을 엽니다.

  2. 페이지 오른쪽 상단 모서리에 있는 AWS 리전 선택기를 사용하여 자동 검색 분석에서 사용자 지정 데이터 식별자를 추가하거나 제거할 리전을 선택합니다.

  3. 탐색 창의 설정에서 자동 검색을 선택합니다. 민감한 데이터 자동 검색 페이지가 나타나고 현재 설정이 표시됩니다. 해당 페이지의 사용자 지정 데이터 식별자 섹션에는 추가한 사용자 지정 데이터 식별자가 나열되어 있거나 자동 검색을 위해 사용자 지정 데이터 식별자를 선택하지 않았음을 나타냅니다.

  4. 사용자 지정 데이터 식별자 섹션에서 편집을 선택합니다.

  5. 다음을 수행하세요.

    • 사용자 지정 데이터 식별자를 하나 이상 추가하려면 추가하고자 하는 각 사용자 지정 데이터 식별자의 확인란을 선택합니다. 확인란이 이미 선택되어 있는 경우 해당 식별자를 이미 추가한 것입니다.

    • 사용자 지정 데이터 식별자를 하나 이상 제거하려면 제거하려는 각 사용자 지정 데이터 식별자의 확인란을 선택 해제합니다. 확인란이 이미 선택 해제된 경우 Macie는 현재 자동 검색을 수행할 때 해당 식별자를 사용하지 않습니다.

    작은 정보

    사용자 지정 데이터 식별자를 선택하기 전에 식별자를 검토하거나 설정을 테스트하려면 식별자 이름 옆의 링크 아이콘( A box with an arrow )을 선택합니다. Macie는 식별자 설정을 표시하는 페이지를 엽니다.

    이 페이지를 사용하여 샘플 데이터로 식별자를 테스트할 수도 있습니다. 이렇게 하려면 샘플 데이터 상자에 텍스트를 1,000자까지 입력한 다음 테스트를 선택합니다. Macie는 식별자를 사용하여 샘플 데이터를 평가한 다음 일치 개수를 보고합니다.

  6. 마쳤으면 저장을 선택합니다.

Amazon Macie에서 허용 목록은 Macie가 S3 객체에 대해 민감한 데이터를 검사할 때 무시할 특정 텍스트 또는 텍스트 패턴을 정의합니다. 텍스트가 허용 목록의 입력 내용 또는 패턴과 일치하는 경우 Macie는 텍스트가 관리형 데이터 식별자 또는 사용자 지정 데이터 식별자의 기준과 일치하더라도 텍스트를 보고하지 않습니다. 자세한 내용은 허용 목록을 사용하여 민감한 데이터 예외사항 정의(을)를 참조하세요.

기본적으로 Macie는 민감한 데이터 자동 검색을 수행할 때 허용 목록을 사용하지 않습니다. Macie가 특정 허용 목록을 사용하도록 하려면 분석에 해당 목록을 추가할 수 있습니다. 분석에 허용 목록을 추가하고 나중에 제거할 수 있습니다.

허용 목록을 추가하거나 제거하려면

  1. https://console.aws.amazon.com/macie/에서 Amazon Macie 콘솔을 엽니다.

  2. 페이지 오른쪽 상단 모서리에 있는 AWS 리전 선택기를 사용하여 자동 검색 분석에서 허용 목록을 추가하거나 제거할 리전을 선택합니다.

  3. 탐색 창의 설정에서 자동 검색을 선택합니다. 민감한 데이터 자동 검색 페이지가 나타나고 현재 설정이 표시됩니다. 해당 페이지의 허용 목록 섹션에는 추가한 허용 목록이 표시되거나 자동 검색을 위해 허용 목록을 선택하지 않았음을 나타냅니다.

  4. 허용 목록 섹션에서 편집을 선택합니다.

  5. 다음을 수행하세요.

    • 하나 이상의 허용 목록을 추가하려면 추가하고자 하는 각 허용 목록의 확인란을 선택합니다. 확인란이 이미 선택되어 있는 경우 해당 목록을 이미 추가한 것입니다.

    • 하나 이상의 허용 목록을 제거하려면 제거하려는 각 허용 목록의 확인란을 선택 해제합니다. 확인란이 이미 선택 해제된 경우 Macie는 현재 자동 검색을 수행할 때 해당 목록을 사용하지 않습니다.

    작은 정보

    허용 목록을 추가하거나 제거하기 전에 허용 목록의 설정을 검토하려면 목록 이름 옆에 있는 링크 아이콘( A box with an arrow )을 선택합니다. Macie는 목록 설정을 표시하는 페이지를 엽니다.

  6. 마쳤으면 저장을 선택합니다.

계정의 민감한 데이터 자동 검색 비활성화

언제든지 계정에서 민감한 데이터 자동 검색을 비활성화할 수 있습니다. 민감한 데이터 자동 검색을 비활성화하면 Macie는 다음 평가 및 분석 주기가 시작되기 전, 일반적으로 24시간 이내에 계정에 모든 자동 검색 활동을 중단합니다. 또한 Macie가 해당 활동을 수행하는 동안 생성하고 직접 제공한 모든 통계 데이터, 인벤토리 데이터 및 기타 정보에 액세스할 수 없게 됩니다. 예를 들어, S3 버킷 인벤토리에 민감도 점수 및 시각화가 더 이상 포함되지 않거나 개별 S3 버킷에 대한 통계 및 세부 정보가 분석되지 않습니다.

계정에 자동 검색을 수행하는 동안 Macie가 생성한 민감한 데이터 결과에는 계속 액세스할 수 있습니다. Macie는 조사 결과를 90일 동안 저장합니다. 또한 AWS 서비스에 저장하거나 다른 사람에게 게시한 데이터는 그대로 유지되며, Amazon S3의 민감한 데이터 검색 결과와 Amazon EventBridge의 조사 결과 이벤트처럼 영향을 받지 않습니다.

계정의 민감한 데이터 자동 검색을 비활성화한 경우 다시 활성화할 수 있습니다. 그러면 Macie는 계정에서 모든 자동 검색 활동을 다시 시작합니다. 30일 이내에 다시 활성화하면 Macie가 이전에 생성하고 해당 활동을 수행하는 동안 직접 제공한 모든 통계 데이터, 인벤토리 데이터 및 기타 정보에 다시 액세스할 수 있습니다. 30일 이내에 다시 활성화하지 않으면 Macie는 이전에 생성하여 직접 제공한 통계 데이터 및 기타 정보를 영구적으로 삭제합니다.

Amazon Macie 콘솔을 사용하여 계정에 민감한 데이터 자동 검색을 비활성화하려면 다음 단계를 따르세요. 프로그래밍 방식으로 자동 검색을 비활성화하려면 Amazon Macie API의 UpdateAutomatedDiscoveryConfiguration 작업을 사용하세요.

계정의 민감한 데이터 자동 검색을 비활성화하려면

  1. https://console.aws.amazon.com/macie/에서 Amazon Macie 콘솔을 엽니다.

  2. 페이지 오른쪽 상단 모서리에 있는 AWS 리전 선택기를 사용하여 민감한 데이터 자동 검색을 비활성화할 리전을 선택합니다.

  3. 탐색 창의 설정에서 자동 검색을 선택합니다.

  4. 상태 섹션에서 비활성화를 선택합니다.

  5. 확인 메시지가 나타나면 비활성화를 선택합니다.